黑客“世界杯”Pwn2Own2017,中国团队360、腾讯、长亭包揽前三名!

阅读量348397

|

发布时间 : 2017-11-01 12:05:13

http://p7.qhimg.com/t0127e3ef0b4aa22196.png

大会介绍

Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、趋势科技旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。

http://p5.qhimg.com/t017a86085f04f2526e.jpg

会议时间

2017年3月15日10:00——3月17日18:00(温哥华时间西八区)

2017年3月16日02:00——3月18日10:00(北京时间东八区)


会议地点

加拿大温哥华CanSecWest 2017

Pwn2Own2017最终排名

经过长达三天的激战,本届Pwn2Own正式结束。根据大赛官方公告,各参赛队伍最终排名已出,来自中国的360安全团队(冠军)、腾讯Sniper:科恩实验室+电脑管家团队(亚军)、长亭安全团队(季军)包揽前三名!

http://p5.qhimg.com/t012611c356b8274ec4.png

http://p1.qhimg.com/t01bd615498caeec9d4.png


Pwn2Own2017战况速报

https://p5.ssl.qhimg.com/t01cba967194795855c.png

http://p5.qhimg.com/t01ec61f55bd26b28b2.png

http://p7.qhimg.com/t0138772982e011e3af.png

http://p5.qhimg.com/t01b3cb44c987a76f28.png

注:图表内容为官网发布内容实时中文翻译整理版,转发请注明来源


Master of Pwn(破解大师)战衣

2017年Pwn2Own共设置15个项目,根据比赛难度的不同,每一项设置了相应的积分和奖金。在3天所有赛程结束后,积分最高的参赛团队,将赢得“Master of Pwn”(破解大师)世界冠军称号,并获得65000个ZDI积分(约合25,000美元)的额外奖励。

本次大赛吸引了来自世界各地的顶尖安全人才,来自中国的360安全团队完成史无前例的最高难度破解,一举远程攻破Edge、拿下Win10系统权限、突破VMware虚拟机成功逃逸。以63分总积分排名本届大赛所有参赛队伍榜首!代表中国夺得Pwn2Own世界总冠军!Master of Pwn!

https://p2.ssl.qhimg.com/t0146e717a2b6da19e0.png

Pwn2Own世界总冠军———360安全团队

https://p1.ssl.qhimg.com/t01768edcb28301475d.png

360安全团队世界著名黑客mj0011

http://p0.qhimg.com/t01183572dbf864bddc.jpg

http://p8.qhimg.com/t015ce7d8ce7daff414.jpg

比赛现场

http://p6.qhimg.com/t0174ef690f26fc14d9.png

http://p5.qhimg.com/t019f5b113d08cbb7b1.png

http://p3.qhimg.com/t011040ee27a408411e.png

http://p4.qhimg.com/t01e33ab2cda715cb76.jpg

http://p8.qhimg.com/t01eb2f0c7a7bc49342.jpg

德国小哥哥的侧脸好帅

http://p8.qhimg.com/t0178f969205bae39e1.jpg

每位选手都好专注,认真的Boy最帅了

Pwn2Own2017凌晨开战

不大的比赛场地挤满了参赛者和观众,大家对今天的比赛都充满了期待。

http://p3.qhimg.com/t01b9f74ca958d00a04.png

Pwn2Own 2017通行证

http://p7.qhimg.com/t01a2e9e42ca5500d3f.jpg

比赛现场

http://p6.qhimg.com/t013822ff47eb089e80.png

最抢镜观众,超可爱的狗狗Oro


现场抽签,决定比赛顺序

各国参赛者紧张有序的到裁判处抽签,抽出本次比赛各项目的顺序。

http://p0.qhimg.com/t01098bebb1cbc32772.jpg

http://p6.qhimg.com/t012229ac948a99b75c.jpg


裁判公布抽签结果,确定赛顺序

http://p5.qhimg.com/t01f5e014f5064a9e8e.jpg

裁判公布抽签结果,确定比赛顺序

http://p9.qhimg.com/t013ff22098d18113c2.png

http://p2.qhimg.com/t01c4a8eb50b4908f18.png

http://p2.qhimg.com/t01b4a32b3b58b59d94.png

比赛项目及最高奖金

虚拟机逃逸(客户到主机)项目

1、VMware Workstation

奖金:10万美金

2、Microsoft Hyper-V

奖金:10万美金

本地提权项目

1、Microsoft Windows 10

奖金:3万美金

2、Apple macOS

奖金:2万美金

3、Ubuntu桌面

奖金:1.5万美金

Web浏览器和插件

1、Microsoft Edge

奖金:8万美金

2、Google Chrome

奖金:8万美金

3、Mozilla Firefox

奖金:3万美金 

4、Apple Safari

奖金:5万美金

5、Microsoft Edge中的Adobe Flash

奖金:5万美金

企业应用程序

1、Adobe Reader

奖金:5万美金

2、Microsoft Office Word

奖金:5万美金

3、Microsoft Office Excel

奖金:5万美金

4、Microsoft Office PowerPoint

奖金:5万美金

服务器端

1、Ubuntu服务器上的Apache Web服务器

奖金:20万美金


比赛项目及对应积分

2017年Pwn2Own共设置15个项目,根据比赛难度的不同,每一项设置了相应的积分和奖金。在3天所有赛程结束后,积分最高的参赛团队,将赢得“Master of Pwn”(破解大师)世界冠军称号,并获得65000个ZDI积分(约合25,000美元)的额外奖励。

http://p6.qhimg.com/t01ef96484cb8fa0e32.png


各厂商最新补丁公告

Adobe安全公告

适用于Adobe Flash Player的安全更新

发布日期:2017年3月14日

CVE编号:CVE-2017-2997,CVE-2017-2998,CVE-2017-2999,CVE-2017-3000,CVE-2017-3001,CVE-2017-3002,CVE-2017-3003

平台:Windows,Macintosh,Linux和Chrome操作系统

概要:Adobe已发布适用于Windows,Macintosh,Linux和Chrome操作系统的Adobe Flash Player的安全更新。

受影响的版本

http://p5.qhimg.com/t01d7a94a4893f1b801.png

漏洞详细信息

这些更新解决了可能导致代码执行的缓冲区溢出漏洞(CVE-2017-2997);

这些更新解决了可能导致代码执行的内存损坏漏洞(CVE-2017-2998,CVE-2017-2999);

这些更新解决了用于持续盲法的随机数生成器漏洞,可能导致信息泄露(CVE-2017-3000);

这些更新解决了可能导致代码执行的漏洞(CVE-2017-3001,CVE-2017-3002,CVE-2017-3003)。


Microsoft安全公告

发布日期:2017年3月14日

http://p9.qhimg.com/t0100a6df931a724994.png

http://p2.qhimg.com/t01344cc75eca03de67.png

VMware安全公告

严重性:严重

概要:VMware Workstation和Fusion更新解决了内存越界访问漏洞

发布日期:2017-03-14

更新日期:2017-03-14(初步)

CVE编号CVE-2017-4901

参赛须知

1.趋势科技的员工及子公司、附属公司、相关广告公司、促销机构以及上述任何公司员工的家庭成员,以及魁北克省的居民没有资格参加比赛。

2.年龄满18周岁,未列入美国禁运、禁行、非法通缉名单;

3.与会者带来的任何软件和技术,需符合与会者国家的规定,并满足加拿大的进出口要求,收到管制;

4.主办方有权取消提供虚假信息的参赛者资格;

5.公共部门的员工在参加比赛或接受赞助商赞助之前,需和参赛者所在部门报告并说明理由。

6.公共部门的雇员、K-12公立和私立教育机构和图书馆、公立及私立学校的员工,学院、大学,研究院及私人图书馆的员工均可以参加比赛。


报名详情

1.本比赛在CanSecWest 2017大会上对所有参会者注册开放,前提是所有参赛者必须注册一个“ZDI”研究员帐户才能参加。

注册是免费的,可以在https://www.zerodayinitiative.com/portal/register/完成。参赛者作为ZDI研究员注册后,参赛者可以通过电子邮件zdi@trendmicro.com与赞助商联系并选择希望参加的比赛类别;

2.每个项目的每个类别都可以参加,参加每个项目的类别数量不限;

3.赞助商保留在注册过程中拒绝不符合规则条目的注册。比赛注册已于2017年3月12日太平洋时间17:00关闭。


参考链接

https://www.zerodayinitiative.com/blog/

http://zerodayinitiative.com/Pwn2Own2017Rules.html

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+10赞
收藏
聪明的狗子
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66